สำคัญ โดยมีกระบวนการครอบคลุมอย่างน้อย ดังนี ้ (1) การระบุความเส่ียง (risk identification) จัดให้มีการระบุเหตุการณ์ความเสี่ยง (risk scenario) ด้าน IT ที่อาจจะเกิดขึ้นหรือที่เคยเกิดขึ้นจริงกับผู้ประกอบ